Connexion VPN logicielle à l'instance privée Amazon AWS VPC [fermé]

J'ai une instance de Virtual Private Cloud (VPC) sur Amazon AWS. À l'intérieur du VPC, j'ai une instance privée qui exécute la base de données et une instance publique qui a les pages Web frontales pour accéder à la base de données.

Il n'y a aucun moyen de se connecter à l'instance privée directement depuis l'extérieur car elle n'a pas d'adresse IP publique. Cependant, je peux me connecter depuis l'instance publique en utilisant son adresse IP privée.

Je veux créer une passerelle VPN à l'intérieur de mon VPC qui me permettra de me connecter directement à l'instance privée de l'extérieur en utilisant des logiciels VPN comme OpenVPN ou OpenSwan.

Mes questions sont -

Est-ce possible?
Si oui, quelles sont les étapes pour configurer ce mécanisme?

Merci d'avance.

— tilmik
source

C'est un problème auquel sont confrontés chaque jour les développeurs travaillant sur des projets AWS. La littérature d'Amazon n'est pas aussi mauvaise que le «mauvais vieux temps» d'Oracle, mais seulement légèrement. IE, ils sont minimes et opaques pour les nouveaux venus sur le VPC, les problèmes de mise en réseau, DNS, etc. qu'un «centre de données virtuel» comme AWS VPC. Donc, bloquer une question en disant: «Vous ne savez pas assez pour poser la bonne question» bloque beaucoup de développeurs débutants qui constituent une grande partie du public cible de ce site Web et Amazon / Rackspace / et al. Les VPN sont difficiles à travailler, surtout en tant que client et non de réseau à réseau.

— Dennis

Cette question devrait être rouverte. Il n'y a pas de bonne documentation à ce sujet avec openswan et openvpn n'est pas viable pour une utilisation à long terme lors de l'utilisation de 2fa.

— jorfus

+1 pour la question de réouverture ...

— Justin Soliz

Oui c'est possible:

vous devez faire ce qui suit:

1- Installez le serveur openvpn sur l'instance publique.

Configurez le serveur openvpn pour envoyer des routes ou une plage d'adresses IP de votre instance privée.

  in the config file add:
  Assuming the private range is 192.168.1.0/24

  push "route 192.168.1.0 255.255.255.0"

Autorisez le trafic du trafic VPN vers l'instance privée, à l'aide d'iptables.

2- Créez un ou déplacez des clients VPN et profitez de votre connexion directe.

Si vous avez besoin de détails sur ce qui précède, je serai heureux de vous aider.

— MohyedeenN
source

Merci pour la réponse. J'ai configuré une passerelle IPSEC / L2TP sur l'une des instances publiques EC2 mais je rencontre des difficultés avec la partie client VPN. Pouvez-vous suggérer un client VPN qui peut utiliser IPSEC / L2TP / PPP? Si cela ne fonctionne pas, je vais essayer votre suggestion avec OpenVPN.

— tilmik

En fait, à partir du client VPN ipsec-l2tp par défaut, j'obtiens l'erreur suivante - "Erreur 230: Aucune passerelle par défaut trouvée ou n'a pas pu écrire les informations de passerelle par défaut". Quel pourrait être le problème?

— tilmik

je ne suis pas familier avec vpn ipsec, j'utilise openVPN

— MohyedeenN

@MohyedeenN, je passe par des pensées similaires. J'ai une question. Outre ce que vous avez suggéré ci-dessus, dois-je configurer des règles de groupes de sécurité VPC pour autoriser le trafic du serveur VPN (dans le sous-réseau de publication) vers d'autres ressources (dans le sous-réseau privé). Et, également les règles de groupe de sécurité dans le sous-réseau privé pour accepter le trafic du serveur VPN dans le sous-réseau Pub? Cela me semble cependant logique. Merci. et +1.

— slayedbylucifer

@slayedbylucifer, Bien sûr, vous devez autoriser les ports nécessaires, dans les groupes de sécurité, en utilisant également iptables si vous appliquez des règles conjointement avec des groupes de sécurité, vous avez raison, c'est tout à fait logique :)

— MohyedeenN